Cuidado con Zoom: la conexión "encriptada" en realidad no es privada
La seguridad de Zoom está en entredicho, después de que sus creadores hayan admitido que las videollamadas no se cifran de extremo a extremo como prometen.
31 marzo, 2020 18:35Noticias relacionadas
Zoom ha sido una de las sorpresas de esta cuarentena. El servicio de videoconferencia se ha beneficiado de una demanda instantánea de usuarios que quieren iniciarse en el teletrabajo, o simplemente quieren hablar con sus seres queridos sin moverse de casa.
El punto fuerte de Zoom está en su sencillez y en la manera en la que nos permite hacer videollamadas con varias personas al mismo tiempo, con una interfaz que ocupa toda la pantalla y la divide entre los usuarios que están hablando.
De hecho, podemos hablar hasta con 100 personas, y hacer cosas tan atractivas como poner un fondo virtual. Sin embargo, este protagonismo inesperado no solo ha servido para descubrir esta app y sus funciones; también ha revelado algunas de las prácticas más polémicas de sus creadores.
En OMICRONO ya hemos hablado de algunas de estas polémicas, como cuando se descubrió que la Zoom recopilaba datos, o que enviaba información a Facebook. Pero esta nueva revelación se lleva la palma: las conexiones cifradas en realidad no son completamente seguras.
Promesa incumplida
Una de las características estrella de Zoom, de la que sus creadores presumen en su página web, es la seguridad. Prometen cifrado extremo a extremo, el más seguro; eso significa que ni siquiera los propios creadores de la app podrían descifrar nuestras conversaciones.
En el cifrado extremo a extremo, o punto a punto, las apps se conectan entre sí y cifran la conexión con una clave que sólo ellas conocen. De esta forma, si un atacante o los creadores de la app interceptan la conexión, sólo capturarán datos sin sentido.
Cuando iniciamos una conversación en Zoom, si hemos activado el encriptado, veremos un icono de color verde que indica que la conexión está cifrada punto a punto, y por lo tanto, es segura.
Sin embargo, los creadores de Zoom ahora han admitido a The Intercept que en realidad esa no es una conexión cifrada punto a punto como nos podríamos esperar. Se trata de un nuevo concepto ideado por Zoom, que usa el mismo método de encriptado de cualquier navegador moderno, TLS.
Zoom funciona organizando una conexión cifrada entre cada usuario y el servidor central de Zoom. La app envía los datos de vídeo de la llamada al servidor, este los descifra y los vuelve a cifrar para enviarlos al resto de usuarios en la conversación.
Accesible facilmente
Las conexiones están cifradas, sí, pero el servidor de Zoom tiene las claves y puede descifrarlas. Por lo tanto, no podemos decir que la conexión sea completamente segura, y desde luego no es cifrado punto a punto.
Nuestras videollamadas de Zoom pasan por los servidores de la compañía sin cifrar, y podrían ser accesibles para alguien con acceso a los sistemas. Sin embargo, es poco probable que haya malicia detrás de esta decisión, y más bien sea una cuestión técnica; encriptar videollamadas es algo muy difícil, porque hay muchas cosas a tener en consideración.
Por ejemplo, ¿cómo sabe Zoom cuándo alguien está hablando en una videoconferencia? Es algo que necesita saber para dar preferencia a su videollamada, y la manera más fácil de saberlo es descifrar el vídeo y analizarlo. Hay otros métodos (FaceTime de Apple lo consigue sin descifrar el vídeo), aunque por el momento Zoom haya optado por la opción más sencilla y directa, pero también menos segura.